Compartir a través de

Consideraciones de implementación para implementar Microsoft Identity Manager con SharePoint Server

  • Artículo

SE APLICA A:no-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint en Microsoft 365

Para aumentar las posibilidades de una implementación de MIM correcta en SharePoint Server, siga estas recomendaciones:

Planear la migración desde su entorno de prueba a su entorno de producción

Planee, planee y, después, planee más. Este paso no se resalta lo suficiente. La mayoría de los errores de sincronización pueden atribuirse a una falta de planeación.

Configurar de manera adecuada el servicio de sincronización de MIM en su laboratorio de pruebas y planear cuidadosamente la migración del laboratorio de pruebas a la producción es esencial para reducir los problemas de implementación. Se recomienda usar un entorno de prueba pequeño para evitar el procesamiento de miles de objetos al probar nuevas reglas.

Realizar una copia de seguridad del entorno de prueba inicial

Después de que MIM esté instalado y sus agentes de administración se hayan creado, realice una copia de seguridad de la base de datos de sincronización de MIM. Después, puede volver a crear un entorno de prueba nuevo en cualquier momento cargando la base de datos de copia de seguridad.

Probar los procedimientos de restauración y copia de seguridad para MIM

Los procedimientos de copia de seguridad regulares son esenciales para proteger sus datos de pérdidas accidentales. También se recomienda probar los procedimientos de copia de seguridad y restauración antes de que se produzca una emergencia. Para realizar copias de seguridad y restaurar MIM, use las herramientas de copia de seguridad proporcionadas con el sistema operativo Windows Server 2012 R2 y SQL Server 2014.

Instalar el servicio de sincronización de MIM y SQL Server en el mismo dominio

Durante la instalación de sincronización de MIM, el acceso a la base de datos remota depende de los derechos de acceso de la cuenta de inicio de sesión actual que esté usando para ejecutar el programa de instalación. Asegúrese de que el servidor que ejecuta el sistema operativo Windows Server 2012 R2 que hospeda MIM y el servidor que hospeda SQL Server están en el mismo dominio y que la cuenta que usa para ejecutar el programa de instalación tiene derechos de acceso al servidor que hospeda SQL Server.

Establecer derechos de acceso si SQL Server está instalado en un servidor remoto

Si instala SQL Server en un equipo remoto, es decir, en un equipo diferente que el que está ejecutando MIM, asegúrese de que la directiva para la cuenta de servicio de SQL Server permite a los usuarios acceder a ese equipo desde la red. Si no se permite el acceso, se producirá un error en la configuración de MIM.

Importante

Si instala SQL Server en un equipo remoto y permite el acceso de red al equipo remoto, recibirá una advertencia de seguridad del programa de instalación de MIM. Para este escenario, la advertencia puede ignorarse.

Especificar el puerto TCP/IP para un servidor remoto que ejecuta SQL Server

Si la instancia de SQL Server que especifica durante la configuración de MIM se encuentra en un equipo remoto, la configuración de MIM usa el puerto TCP/IP predeterminado. Si quiere especificar un puerto diferente, debe usar la Herramienta de red de cliente de SQL Server (Windows\System32\cliconfg.exe) y las herramientas de red de servidor que se proporcionan con SQL Server. Para obtener más información, vea los Libros en pantalla de SQL Server.

Usar Exportar agente de administración para realizar una copia de seguridad de los agentes de administración cuando cambie las reglas del agente de administración

Después de usar Exportar agente de administración, puede usar el comando Importar agente de administración para importar una versión específica del agente de administración individual. También puede exportar e importar agentes de administración con los comandos Exportar configuración del servidor e Importar configuración del servidor, pero así se importan todos los agentes de administración además del esquema de metaverso. Para obtener más información sobre cómo configurar e importar, consulte Configuración de agentes de administración e importación y exportación de una configuración de servidor.

Rellenar el atributo displayName en el metaverso para que los resultados de búsqueda sean más fáciles de identificar

Al enumerar objetos mediante la búsqueda en el metaverso, MIM devuelve resultados que se identifican mediante el atributo displayName. Si no se rellena el atributo displayName , los resultados de la búsqueda se identifican mediante el identificador único global (GUID). Para obtener más información sobre cómo usar la búsqueda de metaverso, consulte Uso de la búsqueda de metaverso.

Diseñar las reglas de flujo para que actúen en el estado de un objeto

Use el estado de un objeto para determinar el paso siguiente en la sincronización del objeto en lugar de usar el evento que ha provocado el estado del objeto.

Importante

No confíe en reglas declarativas ni en reglas de una extensión de reglas que se van a evaluar en un orden especificado al sincronizar un objeto. Las reglas se evalúan de manera no ordenada.

Deshabilitar el aprovisionamiento cuando migra orígenes de datos conectados al metaverso por primera vez

Al implementar MIM por primera vez, se recomienda migrar y unir todos los orígenes de datos conectados antes de habilitar el aprovisionamiento. Después de comprobar que todo se ha migrado y unido correctamente, puede habilitar el aprovisionamiento y ejecutar una sincronización completa de los agentes de administración para aplicar las reglas de aprovisionamiento a todos los objetos conectados. Para obtener más información sobre cómo configurar reglas de aprovisionamiento, consulte Reglas de aprovisionamiento.

Establecer un umbral de eliminación en los pasos del perfil de ejecución para limitar el número de eliminaciones accidentales

Use la configuración del umbral de eliminación para limitar el número de eliminaciones accidentales que pueden producirse durante la importación o exportación. El umbral de eliminación detendrá el agente de administración o evitará que se inicie cuando se alcance el límite del umbral. Para obtener más información, consulte Configuración de agentes de administración.

Usar el espacio conector de búsqueda para examinar objetos

Con el espacio conector de búsqueda, puede buscar objetos en el espacio conector para un agente de administración. Puede buscar objetos por nombre o estado de error, o por el estado del objeto (es decir, si está conectado, desconectado o esperando a ser importado o exportado).

Usar Vista previa para probar las sincronizaciones y solucionar los errores

Con Vista previa, puede ejecutar sincronizaciones de prueba y ver los resultados sin confirmar los cambios en el metaverso. También puede usar Vista previa para probar nuevas extensiones de reglas y para solucionar errores de sincronización debido a errores de unión o infracciones de esquema.

Programar un perfil de ejecución periódico con el paso de sincronización diferencial para procesar desconectores automáticamente

Los objetos que no se unen no se vuelven a evaluar mediante el paso del perfil de ejecución De importación delta y sincronización delta y pueden permanecer como desconexores. La ejecución de un paso de sincronización delta periódicamente volverá a evaluar y procesar estos desconexores. Para obtener más información sobre cómo ejecutar los pasos del perfil, consulte Configuración de agentes de administración.

Guardar y borrar el historial de ejecución del agente de administración en Operations de manera regular

Las operaciones registran un historial de cada ejecución del agente de administración. Cada historial de ejecución del agente de administración se guarda en la base de datos de SQL Server, y puede provocar que la base de datos aumente con el tiempo afectando así al rendimiento. El historial de ejecución puede guardarse con Operations. Para obtener más información sobre cómo usar operaciones, consulte Uso de operaciones.

Nota:

Eliminar muchas ejecuciones a la vez puede tardar un tiempo considerable. Se recomienda eliminar no más de 100 ejecuciones a la vez.

Usar varias particiones en un agente de administración para controlar la sincronización de tipos de objeto únicos

Para controlar la sincronización de tipos de objeto únicos en un agente de administración basado en archivos, cree una partición para cada tipo de objeto. Por ejemplo, para sincronizar los tipos de objeto mailbox y group, cree dos particiones en el agente de administración, y asigne mailbox a una partición y group a la otra. Después, cree un perfil de ejecución del agente de administración para cada partición. Con esta configuración, tiene un agente de administración con la flexibilidad para sincronizar uno o ambos de los tipos de objeto seleccionados. Para obtener más información sobre cómo usar particiones, vea El metaverso y el espacio del conector.

Planeamiento de la capacidad

Hay muchas variables que pueden afectar a la capacidad general y al rendimiento de la implementación de MIM.

El rendimiento puede verse afectado negativamente si todas las bases de datos del sistema se crean con un tamaño más pequeño y se establecen para crecer automáticamente, especialmente en incrementos pequeños. Se requiere un mínimo de 16 GB de RAM para los servidores SQL Server, pero se beneficiará de más memoria. Debe tener al menos 16 núcleos de CPU en los servidores SQL Server, pero más núcleos ayudarán al rendimiento general.

Por último, se recomienda no ejecutar bases de datos de MIM y SharePoint juntas en el mismo servidor.

Alta disponibilidad

La solución MIM está diseñada para ser de alta disponibilidad para evitar cualquier punto de error único. Los siguientes componentes deben tenerse en cuenta para la alta disponibilidad:

Nota:

La información de esta sección son solo recomendaciones.

  • Servicio de sincronización de MIM : aunque no se admite la agrupación en clústeres del servicio de sincronización de MIM, se podría implementar un servidor en espera activa para asumir la carga de trabajo de la principal en caso de error. Sin embargo, el error de hardware no debe ser un problema, ya que el servicio de sincronización de MIM se ejecutará en una máquina virtual hospedada en varios nodos físicos. Además, si se produce un error de software, la máquina virtual que hospeda el servidor de sincronización podría recuperarse rápidamente de una copia de seguridad anterior o volver a generarse desde cero. Un tiempo de inactividad de este servicio no afecta a las interacciones del usuario final con la solución. Solo retrasaría el cumplimiento de todas las solicitudes de aprovisionamiento y desaprovisionamiento de acceso. Cuando el servicio vuelva a estar en línea, esas operaciones se reanudan sin pérdida de datos. El modo de espera activo del servicio de sincronización de MIM se conectará a la misma base de datos de SQL Server que la instancia principal y tendrá que activarse a través de un script en caso de que la instancia principal deje de funcionar y no se pueda reiniciar a tiempo. Tenga en cuenta que el agente de administración de MIM que se ha usado para sincronizar los datos entre la base de datos del servicio de sincronización de MIM y la base de datos del servicio de MIM tendrá que señalar a la instancia local del servicio de MIM.

  • SQL Server : la solución MIM requiere un clúster de SQL Server para proporcionar alta disponibilidad para la capa de base de datos. El clúster de MIM constará de dos servidores con las especificaciones que se detallan en los párrafos anteriores. Aunque cada nodo SQL tenga ambas instancias de SQL instaladas, solo una de las dos instancias estará activa en un momento determinado.

    El diseño tiene en cuenta el mejor uso de las máquinas virtuales en clúster sin sobrescribir cada nodo y, potencialmente, provocar que ambos nodos se reduzcan si se produce una conmutación por error.

    Como las bases de datos se hospedan en un servidor de SQL Server remoto, la conexión de red entre los servidores de MIM y los de SQL Server debe ser de 1 Gbit. La red de 100 Mbit no proporcionará suficiente ancho de banda y degradará el rendimiento de la sincronización entre un 20 y un 30 por ciento.

Usar siempre Importación de Active Directory como la configuración de sincronización en la administración de perfiles de usuario

Si tiene previsto usar el servicio de sincronización de MIM, no lo seleccione. En su lugar, seleccione la opción Use SharePoint Active Directory Import. Hay un problema conocido con la compilación de audiencias y el atributo Manager si la opción Habilitar External Identity Manager está seleccionada.

Nota:

Este problema se corrigió en la actualización pública (PU) de febrero de 2017. Vea February 21, 2017, update for SharePoint Server 2016 (KB3141517) (21 de febrero de 2017, actualización de SharePoint Server 2016 (KB3141517)).

No cambiar entre tipos de sincronización

Si cambia de un tipo de sincronización a otro mediante configurar la configuración de sincronización en el sitio web de Administración central de SharePoint, experimentará problemas con que no se devuelvan objetos cuando se inicie una importación en la instancia de SharePoint Connector y no se produzca ningún resultado en los registros de ULS.

Para recuperarse del cambio de tipos, en la sección Pasos de recuperación, vea SharePoint 2016 : Issues due to Switching Between Synchronization Types in UPA AD Import / External Identity Manager (MIM) (Problemas debido al cambio entre tipos de sincronización en la importación de UPA AD y el Administrador externo de identidades (MIM)).

Exportación de imágenes de SharePoint a Active Directory

Microsoft Identity Manager admite la exportación de imágenes de perfil de usuario de SharePoint a Active Directory.

No existe ninguna integración BCS para admitir propiedades de perfil adicionales

No hay ninguna integración de Servicios de conectividad empresarial para admitir las propiedades de perfil en MIM. Puede configurar manualmente conectores para conseguir esto.

Propiedades de perfiles de usuario

Se pueden crear nuevas propiedades de perfil de usuario en servidores de SharePoint; sin embargo, las asignaciones no se crean en SharePoint, sino en MIM.

nombre NETBIOS

Si el Administrador externo de identidades está seleccionado, debe habilitar la propiedad NetBIOSDomainNamesEnabled en la aplicación del servicio de perfiles de usuario tan pronto como se cree para admitir escenarios en los que su nombre NETBIOS del dominio sea diferente del nombre de dominio completo (FQDN).

Realizar operaciones de sincronización en un canal seguro

Dado que la sincronización suele incluir información de identificación personal, se recomienda que las ejecuciones de sincronización se realicen a través de un canal seguro como HTTPS o LDAPS.

Consulte también

Otros recursos

Introducción al servicio de sincronización de Microsoft Identity Manager en SharePoint Server